Oferta rabatowa na wiele licencji
Baza danych zagrożeń Oprogramowanie wymuszające okup Mortar Ransomware

Mortar Ransomware

Do Mezo w Oprogramowanie wymuszające okup
Przetłumacz na:

Złośliwe oprogramowanie nadal stanowi jedno z najpoważniejszych zagrożeń cyberbezpieczeństwa, z jakimi borykają się zarówno organizacje, jak i osoby prywatne. Nowoczesne ataki ransomware mogą zakłócić działalność firm, spowodować poważne straty finansowe i narazić na szwank poufne informacje w ciągu zaledwie kilku godzin. W miarę jak grupy atakujące ransomware stają się coraz bardziej zaawansowane, utrzymanie silnych zabezpieczeń i proaktywnych metod obrony jest niezbędne do ochrony cennych danych i zapewnienia ciągłości operacyjnej.

Mortar Ransomware w skrócie

Mortar Ransomware to odmiana złośliwego oprogramowania szyfrującego pliki, zidentyfikowana przez badaczy cyberbezpieczeństwa. Zagrożenie to jest przeznaczone głównie dla środowisk korporacyjnych, w których atakujący dążą do maksymalizacji zakłóceń operacyjnych i zwiększenia presji na ofiary, aby zapłaciły okup. Po wdrożeniu w zainfekowanej sieci, Mortar szyfruje pliki i pozostawia po sobie żądanie okupu, którego nazwa jest zgodna z unikalnym identyfikatorem ofiary, zgodnie z formatem „README-[ID ofiary].txt”.

Charakterystyczną cechą tego ransomware jest jego mechanizm zmiany nazw plików. Podczas szyfrowania Mortar dodaje unikalny identyfikator ofiary do każdego pliku, którego dotyczy atak. Na przykład, plik pierwotnie nazwany „1.png” może zostać zmieniony na „1.png.4RcrXfvVksS5ACA”, a dokument taki jak „2.pdf” może zostać przekształcony na „2.pdf.4RcrXfvVksS5ACA”. Ten sam identyfikator jest następnie używany w nazwie pliku żądania okupu, tworząc bezpośrednie powiązanie między ofiarą a atakiem.

Proces szyfrowania i żądania okupu

Po infiltracji sieci Mortar szyfruje szeroki zakres danych, w tym dokumenty, bazy danych, zdjęcia i inne cenne pliki biznesowe. W liście z żądaniem okupu twierdzi się, że atakujący użyli algorytmów szyfrowania AES-256 i RSA-2048 do zablokowania danych ofiary. Chociaż takie twierdzenia są powszechne wśród operatorów ransomware, główny cel pozostaje ten sam: uniemożliwienie dostępu do danych bez odpowiedniego klucza deszyfrującego.

W liście żądającym okupu ofiary informują, że jedynym sposobem na odzyskanie plików jest zakup od atakujących narzędzia deszyfrującego. Zamiast określać stałą kwotę okupu, przestępcy kierują ofiary do portalu opartego na sieci Tor i podają dane logowania, składające się z nazwy użytkownika i hasła. Takie podejście pozwala atakującym na indywidualne negocjowanie płatności i potencjalne dostosowywanie żądań okupu w oparciu o postrzeganą wartość organizacji będącej ofiarą.

Czy zaszyfrowane pliki można odzyskać?

Odzyskanie plików zaszyfrowanych przez ransomware jest często niezwykle trudne bez dostępu do mechanizmu deszyfrującego atakujących. W rzadkich przypadkach badacze cyberbezpieczeństwa odkrywają błędy implementacyjne lub luki kryptograficzne, które umożliwiają stworzenie darmowych deszyfratorów. Jednak takie przypadki są rzadkie, a ofiary ataków ransomware często mają ograniczone możliwości odzyskiwania danych.

Zapłacenie okupu jest zazwyczaj uważane za decyzję wysokiego ryzyka. Cyberprzestępcy nie mają obowiązku udostępnienia działającego narzędzia deszyfrującego po otrzymaniu płatności. Wiele ofiar doświadczyło sytuacji, w których środki zostały przekazane, ale narzędzia do odzyskiwania danych nigdy nie zostały dostarczone lub dostarczone narzędzia nie przywróciły danych. W rezultacie zapłata może skutkować dodatkowymi stratami finansowymi bez gwarancji odzyskania plików.

Wektory infekcji i techniki ataku

Mortar może dotrzeć do ofiar za pomocą kilku metod ataku powszechnie stosowanych w kampaniach ransomware. Phishing pozostaje jednym z najpowszechniejszych wektorów infekcji. Atakujący rozsyłają wiadomości e-mail zawierające złośliwe załączniki, takie jak skompresowane archiwa, pliki wykonywalne lub dokumenty Microsoft Office z osadzonymi szkodliwymi makrami. Po otwarciu pliki te mogą zainicjować proces wdrażania ransomware.

Dodatkowe drogi infekcji obejmują oprogramowanie trojańskie, mechanizmy fałszywych aktualizacji, złośliwe kampanie reklamowe, niewiarygodne portale pobierania oraz pirackie aplikacje dystrybuowane nieoficjalnymi kanałami. Metody te wykorzystują zaufanie użytkowników i niewystarczające zabezpieczenia, aby uzyskać dostęp do systemów.

W przypadku ukierunkowanych włamań korporacyjnych, atakujący mogą stosować bardziej zaawansowane techniki. Atakujący często próbują naruszyć usługi protokołu RDP (Remote Desktop Protocol) poprzez ataki brute force na słabe dane uwierzytelniające. Mogą również wykorzystywać niezałatane luki w zabezpieczeniach systemów internetowych, aby uzyskać wstępny punkt zaczepienia, a następnie rozprzestrzenić się po sieci i wdrożyć ransomware na wielu urządzeniach jednocześnie.

Reagowanie na infekcję zaprawą murarską

Po wykryciu Mortara natychmiastowe powstrzymanie ataku jest kluczowe. Usunięcie ransomware z zainfekowanych systemów pomaga zapobiec dalszemu szyfrowaniu i zmniejsza ryzyko dodatkowych szkód w środowisku. Nie należy jednak mylić usuwania złośliwego oprogramowania z odzyskiwaniem danych. Usunięcie złośliwego oprogramowania nie powoduje automatycznego przywrócenia zaszyfrowanych plików.

Najbardziej niezawodną metodą odzyskiwania danych pozostaje przywrócenie czystych kopii zapasowych utworzonych przed atakiem. Kopie zapasowe powinny być przechowywane oddzielnie od systemów produkcyjnych, aby zapobiec zaszyfrowaniu repozytoriów kopii zapasowych przez oprogramowanie ransomware podczas incydentu. Organizacje, które przechowują bezpieczne, odizolowane kopie zapasowe, mają zazwyczaj znacznie większe szanse na odzyskanie danych po atakach ransomware bez konieczności angażowania cyberprzestępców.

Budowanie silnych zabezpieczeń przed oprogramowaniem ransomware

Skuteczna ochrona przed ransomware wymaga wielowarstwowej strategii bezpieczeństwa, która łączy technologię, świadomość użytkowników i proaktywną konserwację. Organizacje powinny regularnie aktualizować systemy operacyjne, aplikacje i urządzenia sieciowe, aby eliminować luki w zabezpieczeniach, które często wykorzystują atakujący. Silne zasady uwierzytelniania, szczególnie w przypadku usług dostępu zdalnego, mogą znacznie zmniejszyć ryzyko nieautoryzowanego dostępu.

Równie ważne jest opracowanie solidnej strategii tworzenia kopii zapasowych. Dane krytyczne powinny być kopiowane do wielu lokalizacji, w tym do pamięci masowej offline lub odłączonej, do której nie można uzyskać dostępu z zainfekowanych systemów. Regularne testowanie kopii zapasowych zapewnia prawidłowe działanie procedur przywracania w sytuacjach awaryjnych.

Do najważniejszych praktyk bezpieczeństwa należą:

  • Regularne tworzenie kopii zapasowych, które należy przechowywać w oddzielnych, chronionych lokalizacjach.
  • Instalowanie aktualizacji zabezpieczeń i poprawek natychmiast po ich udostępnieniu.
  • Używanie silnych, unikalnych haseł i włączanie uwierzytelniania wieloskładnikowego.
  • Ograniczanie niepotrzebnych usług dostępu zdalnego i monitorowanie prób logowania.
  • Szkolenie pracowników w zakresie rozpoznawania wiadomości e-mail typu phishing i podejrzanych załączników.
  • Wdrażanie sprawdzonych rozwiązań ochrony punktów końcowych i monitorowania sieci.

Organizacje powinny również przyjąć zasadę minimalnych uprawnień, przyznając użytkownikom jedynie dostęp niezbędny do pełnienia ich ról. Ciągły monitoring, audyty bezpieczeństwa i planowanie reagowania na incydenty dodatkowo wzmacniają odporność na kampanie ransomware, takie jak Mortar. Połączenie mechanizmów prewencyjnych, możliwości szybkiego wykrywania i niezawodnych systemów tworzenia kopii zapasowych pozostaje najskuteczniejszą obroną przed współczesnymi zagrożeniami szyfrującymi pliki.

Wniosek

Mortar Ransomware stanowi poważne zagrożenie dla sieci korporacyjnych ze względu na zdolność szyfrowania cennych danych, zakłócania operacji i wywierania presji na ofiary, aby zapłaciły za odszyfrowanie. Dołączając unikalne identyfikatory do zaszyfrowanych plików i kierując ofiary do dedykowanego portalu żądającego okupu, atakujący wykazują się ustrukturyzowanym i ukierunkowanym podejściem. Chociaż odzyskiwanie zaszyfrowanych plików może być trudne, organizacje, które priorytetowo traktują solidne praktyki cyberbezpieczeństwa, utrzymują odizolowane kopie zapasowe i proaktywnie usuwają luki w zabezpieczeniach, mogą znacznie zmniejszyć wpływ incydentów ransomware i poprawić swoją ogólną pozycję w zakresie bezpieczeństwa.

System Messages

The following system messages may be associated with Mortar Ransomware:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Popularne

Oszustwo związane z e-mailami do współpracy na LinkedIn

Phishing, Spam
Cyberprzestępcy stojący za oszustwem LinkedIn Collaboration próbują zwabić odbiorców, przedstawiając im coś, co wygląda na profesjonalne zapytanie biznesowe. E-maile rzekomo pochodzą od kupującego o nazwisku „Jonathan Spriggs” z firmy Storex Trading Ltd., który rzekomo odkrył odbiorcę za pośrednictwem LinkedIn i chce omówić duże zamówienie na 12 000 sztuk. Aby wiadomość wydawała się...

Najczęściej oglądane

Ładowanie...